2min

Een bug in een Web application interface maakte het mogelijk om bij accountinformatie van T-Mobile klanten te komen. Door een telefoonnummer te leveren kon de kwaadwillende e-mailadressen, apparaat-identificatiedata en antwoorden op beveiligingsvragen bemachtigen. T-Mobile dichtte de kwetsbaarheid nadat Motherboard contact opnam met het bedrijf naar aanleiding van een anonieme beveiligingsonderzoeker.

Met de informatie werd het tevens mogelijk om na het overnemen van een account over te stappen op andere telefoons. Andere accounts die beschermd worden door twee-stap authenticatie met SMS waren simpelweg te bemachtigen met een T-Mobile SIM-kaart. Een bron van Motherboard gaat nog een stapje verder door te claimen dat cybercriminelen met de bug social media-accounts wilden bemachtigen.

T-Mobile hostte de API op wsg.T-Mobile.com en zag volgens de berichtgeving de kwetsbaarheid bekend worden onder kwaadwillenden. Bij de eerste stap misbruikten zij de kwetsbare API om essentiële accountinformatie van de T-Mobile systemen te halen. Daarna konden zij klantenservice bellen om zich voor te doen als een T-Mobile-gebruiker, om de medewerker ervan te overtuigen een vervangende SIM-kaart te sturen. Zo kregen de aanvallers toegang tot onder meer de social media-accounts.

Getroffen klanten

Een woordvoerder laat aan Motherboard weten dat het lek binnen 24 uur na bekendmaking gedicht is. Alle mogelijke manieren om er misbruik van te maken zijn daarbij afgesloten, benadrukt de woordvoerder. Op het moment van schrijven heeft T-Mobile nog geen bewijs gevonden dat accounts van klanten ook daadwerkelijk getroffen zijn door de kwetsbaarheid. Een anonieme hacker beweert echter dat er de afgelopen weken door meerdere personen van de bug gebruik gemaakt is.

Eén van de hackers plaatste zelfs een filmpje op YouTube dat laat zien hoe eenvoudig de zwakke API misbruikt kan worden. In slechts één minuut wordt de kwetsbaarheid in beeld gebracht. De video is hieronder te bekijken.